RGPD

RGPD

Règlement Général sur la Protection des données

Version 03-2024

01

LES GRANDS PRINCIPES

1978 - Loi Informatique et Libertés

Elle entre en vigueur le 6 janvier 1978. Cette loi pose le principe suivant lequel l’informatique doit-être au service de chaque citoyen et ne doit porter atteinte ni à l’identité humaine , ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles et publiques (article 1er).

2018 - Application du RGPD

Le 25 mai 2018, le Règlement Général sur la Protection des données (RGPD) entre en application dans chacun des pays de l’Union européenne. Il pose un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens afin de répondre aux évolutions du numérique.

Qu'est-ce qu'une donnée à caractère personnel ?

Données directement identifiantes

Données indirectement identifiantes

Numéro de client, numéro de téléphone, pseudonyme sur un réseau social...

Nom, prénom, photo, vidéo, Email nominatif...

Article 4 du RGPD - DéfinitionToute information se rapportant à une personne physique identifiée ou identifiable (dénommée "personne concernée")

Les combinaisons d'informations

Lieu de naissance, lieu de résidence, nom de l'employeur, hobbies...

TESTEZ VOS CONNAISSANCES

Les données à risques élevés

Ce sont des données qui touchent à l’intimité de l’individu, voire à l’identité humaine, et dont l’utilisation pour un mauvais usage représente un risque élevé pour les personnes.

Ces données à risques sont:

Données relatives aux condamnations pénales, infractions

Le numéro de sécurité sociale (NIR)

Les données sensibles

Le traitement de ces données ne peut se faire sans le respect d'un cadre juridique strict.

TESTEZ VOS CONNAISSANCES

Exemples de traitement de données:

Qu'est-ce qu'un traitement de données personnelles?

La collecte

Article 4 du RGPD - Définition

L'enregistrement

Est un traitement toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel. Un traitement de données doit avoir un objectif, une finalité, c'est-à-dire il n'est pas possible de collecter ou de traiter des données personnelles simplement au cas où cela serait utile un jour.

La conservation

L'extraction

La communication

etc...

Quelles questions faut-il se poser avant de commencer un traitement de donnée personnelle?

1 Pourquoi je collecte la donnée ?

3 Ai-je besoin de plus ?

4 Combien de temps ?

5 Est-elle sécurisée ?

6 Comment informer les personnes ?

2 Sur quel fondement ?

Quelles sont les principaux droits des personnes concernées ?

DROIT D'EFFACEMENT

DROIT D'ACCES

DROIT D'OPPOSITION

les personnes ont le droit de demander l'effacement de l'intégralité des données les concernants

les personnes ont le droit de s'opposer dans certains cas à ce que leurs données soient utilisées pour un objectif précis .

les personnes ont le droit d'obtenir une copie de toutes leurs données collectées et traitées .

Plus d'informations sur les autres droits des personnes concernées

TESTEZ VOS CONNAISSANCES

02

RESPONSABILITES DES ACTEURS

LES DIFFERENTS ACTEURS

Le responsable de Traitement

La CNIL

RGPD

Le(s) Sous-traitant(s)

Le DPD

Violation de données personnelles

Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Si l’incident constitue un risque au regard de la vie privée des personnes concernées, l’organisme doit notifier l’incident à la CNIL dans un délai de 72h.

Les sanctions

Pour mieux garantir le respect des libertés et de la vie privée, le RGPD met en place des moyens permettant à la CNIL de sanctionner plus efficacement les organismes non conformes. Il permet aussi aux personnes de faire valoir leurs droits plus facilement.

Le montant maximal des amendes administratives diffère en fonction de la gravité du manquement. La CNIL pourra décider de prononcer une amende allant au maximum jusqu’à:

• Soit 20 millions d’euros ou 4% du chiffre d’affaires mondial (le montant le plus élevé étant retenu)

TESTEZ VOS CONNAISSANCES

03

LES BONNES PRATIQUES

Les 10 règles d'or en matière de sécurité informatique

Evitez les réseaux Wifi publics ou inconnus

Protégez-vous des virus et logiciels malveillants

Effectuez des mises à jour régulières

Sauvegardez régulièrement vos données

Gérez vos mots de passe avec soin

10

Accordez le juste niveau de privilèges

Maîtrisez vos informations diffusées sur internet

Veillez à séparer vos usages professionnels et personnels

Protégez votre messagerie électronique

Evitez les sites internet qui semblent douteux

Pour aller plus loin: MOOC gratuit de l'ANSSI sur la sécurité numérique

04

CAS PRATIQUES

Cas pratique n°1:

L'assistante admnistrative du Lycée, dans le cadre de l'information sur la date et le déroulement de la rentrée scolaire, envoie un e-mail à tous les lycéens inscrits à Carrel. Une erreur humaine entraîne l'envoi de cet e-mail à tous les destinataires en utilisant le champ "A" au lieu du champ "CCi" copie cachée, révélant ainsi toutes les adresses e-mail de tous les destinataires.

Le problème principal de protection des données dans ce cas est la divulgation non autorisée des adresses e-mail des destinataires de l'e-mail de masse. Cela constitue une violation de la confidentialité des données personnelles. Cette action n'est pas conforme au RGPD, car elle viole le principe de confidentialité et de sécurité des données personnelles.

Il est important de réagir rapidement:1. Notifier immédiatement de l'erreur le délégué à la protection des données DPD qui se chargera du traitement et de l'enregistrement de la violation 3. Revoir les pratiques internes pour éviter de futures violations du RGPD (formations et mesures de contrôles des pratiques).

Cas pratique n°2:

Carrel Centre de Formation propose une formation "Maitre d'apprentissage" à destination des entreprises partenaires. Dans le cadre de la gestion administrative des sessions de formation, la chargée d'affaires doit collecter les données personnelles des participants pour les inscrire aux séances, les informer sur le déroulement de la formation et réserver les plateaux repas. Lors de la collecte des données, la chargée d'affaires a constaté, en réponse à la question "Suivez-vous un régime alimentaire particulier?", que certains participants avaient fourni des informations sensibles telles que leur état de santé ou leurs croyances religieuses, qui ne sont pas nécessaires pour la réservation des plateaux repas.

Pour assurer la conformité au RGPD et protéger les données personnelles des participants, il est recommandé de:

• mettre en place un formulaire d'inscription qui ne demande que les données strictement nécessaires pour l'inscription à la formation.
• remplacer les champs commentaires par une liste déroulante

Exemple: réponses possibles à la question "Suivez-vous un régime alimentaire particulier ?": 1. Plateau repas végétarien 2. Plateau repas poisson (sans viande) 3. Plateau repas viande ...

Quiz D'EVALUATION

Démarrer

Le Délégué à la Protection des données(DPD)

Il a pour missions:

• d’informer et conseiller l’organisme
• De contrôler la conformité au RGPD
• De jouer un rôle d’interface entre l’organisme, la CNIL et les personnes concernées
• D’assurer la documentation des traitements de données (registre des traitements)
• De former et sensibiliser les collaborateurs au respect du RGPD

Les données indirectement identifiantes

En associant ces données à une base de donnée, détenue en interne ou par tout autre tiers, comme le fichier client d'une entreprise ou l'annuaire téléphonique, il est possible de retrouver l'identité de la personne.

Mot de passe

Utilisez un mot de passe différent pour chaque accès (messagerie, banque en ligne, comptes de réseaux sociaux, etc.). Créez un mot de passe suffisamment long, complexe et inattendu : de 8 caractères minimum et contenant des minuscules, des majuscules, des chiffres et des caractères spéciaux.

Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Les combinaisons d'informations

Certaines informations ne permettent pas à elles seules ni directement, ni indirectement (en étant associées à une autre base) d’identifier une personne. La combinaison de plusieurs de ces informations peut parfois permettre d’identifier de manière unique une seule personne.

Exemples d'organismes autorisés à collecter et traiter le Numéro d'Inscription au Répertoire (NIR)

Les employeurs publics et privés (gestion de la paie)

La sécurité sociale et les professionnels de santé

Exemple de traitement

​Le suivi pédagogique des apprenants: Collecte des données sur les progrès des apprenants, évaluation de leur compréhension et de leur performance, adaptation de la formation en fonction des besoins identifiés, etc.

Commission Nationale de l'Informatique et des Libertés: autorité administrative indépendante chargée de réguler l'utilisation des données personnelles. Elle a 4 grandes missions:

• Anticiper et
• Innover

• Contrôler et
• Sanctionner

• Accompagner la conformité
• Conseiller

• Informer
• Protéger les droits

Fondement du traitement

Un traitement de données ne peut être mis en oeuvre que s'il est fondé sur une des 6 conditions de licéité.

Respect d'une obligation légale

Nécessité pour l'exécution d'un contrat

Le consentement de la personne concernée

Exécution d'une mission d'intérêt public

Intérêts légitimes de l'organisme

Sauvegarde des intérêts vitaux

Le Responsable de Traitement (RT)

Le responsable de traitement est la personne morale (entreprise, organisme de formation, etc...) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. Il est responsable en cas de non-conformité de son organisme avec le RGPD. En pratique le RT est le responsable légal de l'organisme.

Conservation limitée des données

Dès que la finalité pour laquelle les données ont été collectées est atteinte, celles-ci doivent être soit :

Supprimées

Anonymisées

Archivées

Le Sous-Traitant (ST)

Lorsqu’un organisme traite des données personnelles pour le compte et sur instruction d’un autre organisme ayant la qualité de responsable de traitement, il est considéré comme un sous-traitant au sens du RGPD. Exemple: gestion de la paie, hébergement de données pour un autre organisme…

Le juste niveau de privilèges

Limitez les droits d'accès: chaque collaborateur a accès uniquement à ce dont il a besoin.

PRINCIPE DE MINIMISATION Seules les données strictement nécessaires pour atteindre la finalité peuvent être collectées et traitées.

Exemple : Collecter et conserver le statut marital d’un salarié n’apparaît pas nécessaire à l’activité RH.

Les données biométriques

Origines raciales ou ethniques

Les données génétiques

Données sensibles

Opinions politiques

La vie ou l'orientation sexuelle

DONNEES SENSIBLES

Convictions philosophiques ou religieuses

Santé (physique ou mentale)

Appartenance syndicales

Information des personnes

Les personnes concernées doivent être informées de la collecte de leur données aussi bien en cas de collecte directe (formulaire de demande de consentement, contrat...) qu'en cas de collecte indirecte (données récupérées auprès d'établissements partenaires).

1. L'identité et les coordonnées de l’organisme qui collecte et traite les données2. Les finalités des traitements 3. La condition de licéité du traitement; 4. Le caractère obligatoire ou facultatif du recueil des données ; 5. Les destinataires ou catégories de destinataires des données; 6. La durée de conservation des données ; 7. L'existence des droits des personnes concernées ainsi que les moyens de les exercer ; 8. Les coordonnées du DPD ; 9. Le droit d’introduire une réclamation auprès de la CNIL.

L'information doit être concise, transparente, compréhensible, aisément accessible. Elle doit inclure: